Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS. Pour en savoir plus, consultez Différences par rapport à Google Cloud.

Clés de chiffrement gérées par le client (CMEK)

Ce document présente l'utilisation de Cloud Key Management Service (Cloud KMS) pour les clés de chiffrement gérées par le client (CMEK). L'utilisation de clés CMEK Cloud KMS vous permet de posséder et de contrôler les clés qui protègent vos données au repos dans Cloud de Confiance by S3NS.

Comparaison entre les clés CMEK et Google Cloud-powered encryption keys

Les clés Cloud KMS que vous créez sont des clés gérées par le client. Cloud de Confiance Les services qui utilisent vos clés sont dits intégrés aux clés CMEK. Les facteurs suivants distinguent le chiffrement au repos par défaut de celui des clés gérées par le client : Cloud de Confiance

Type de clé	Gérée par le client	Google Cloud-powered encryption key (Chiffrement par défaut de Google)
Affichage des métadonnées de clé autorisé	Oui	Non
Propriété des clés¹	Client	Google
Gestion² et contrôle³ des clés autorisés	Contrôle manuel uniquement par le client	Google
Conformité avec les exigences réglementaires pour les clés gérées par le client	Oui	Non
Partage des clés	Unique à un client	Les données de plusieurs clients sont généralement protégées par des clés de chiffrement de clé (KEK) partagées.
Contrôle de la rotation des clés	Oui	Non
Règles d'administration CMEK	Oui	Non
Journalisation des accès administratifs et aux données pour les clés de chiffrement	Oui	Non
Séparation logique des données par chiffrement	Oui	Non
Tarifs	Variables selon le niveau de protection	Sans frais

¹ Le propriétaire de la clé indique qui détient les droits sur la clé. Les clés dont vous êtes propriétaire ont un accès très limité ou aucun accès par Google.

² La gestion des clés inclut les tâches suivantes :

Créer des clés.
Choisir le niveau de protection des clés.
Attribuer l'autorité pour la gestion des clés.
Contrôler l'accès aux clés.
Contrôler l'utilisation des clés.
Définir et modifier la période de rotation des clés, ou déclencher une rotation des clés.
Modifier l'état des clés.
Détruire les versions de clé.

³ Le contrôle des clés consiste à définir des contrôles sur le type de clés et leur utilisation, à détecter les écarts et à planifier des mesures correctives si nécessaire. Vous pouvez contrôler vos clés, mais déléguer leur gestion à un tiers.

Chiffrement par défaut avec Google Cloud-powered encryption keys

Toutes les données stockées dans Cloud de Confiance sont chiffrées au repos à l'aide des mêmes systèmes de gestion de clés renforcés que ceux utilisés par Cloud de Confiance pour ses propres données chiffrées. Ces systèmes de gestion de clés fournissent des contrôles d'accès et des audits de clés stricts et des audits, et chiffrent les données utilisateur au repos à l'aide de la norme de chiffrement AES-256 standard. Cloud de Confiance possède et contrôle les clés utilisées pour chiffrer vos données. Vous ne pouvez pas afficher ni gérer ces clés, ni consulter les journaux d'utilisation des clés. Les données de plusieurs clients peuvent utiliser la même clé de chiffrement de clé (KEK). Aucune installation, configuration ou gestion n'est requise.

Clés de chiffrement gérées par le client (CMEK)

Les clés de chiffrement gérées par le client sont des clés de chiffrement dont vous êtes propriétaire. Cette fonctionnalité vous permet de mieux contrôler les clés utilisées pour chiffrer les données au repos dans les services compatibles Cloud de Confiance , et fournit une limite cryptographique autour de vos données.

Les services compatibles avec les clés CMEK disposent d'une intégration de clés CMEK. L'intégration de clés CMEK est une technologie de chiffrement côté serveur que vous pouvez utiliser à la place du Cloud de Confiance's chiffrement par défaut. Une fois les clés CMEK configurées, les opérations de chiffrement et de déchiffrement des ressources sont gérées par l'agent de service de la ressource. Étant donné que les services intégrés aux clés CMEK gèrent l'accès à la ressource chiffrée, le chiffrement et le déchiffrement peuvent avoir lieu de manière transparente, sans effort de la part de l'utilisateur final. L'expérience d'accès aux ressources est semblable à celle du chiffrement par défaut de Cloud de Confiance. Pour en savoir plus sur l'intégration de clés CMEK, consultez Ce qu'un service intégré aux clés CMEK fournit.

Vous pouvez utiliser un nombre illimité de versions de clé pour chaque clé.

Pour savoir si un service est compatible avec les clés CMEK, consultez la liste des services compatibles.

L'utilisation de Cloud KMS entraîne des coûts liés au nombre de versions de clé et aux opérations cryptographiques effectuées avec ces versions de clé.

Quand utiliser des clés de chiffrement gérées par le client

Vous pouvez utiliser des clés CMEK dans des services compatibles pour vous aider à atteindre les objectifs suivants :

Posséder vos clés de chiffrement.
Contrôler et gérer vos clés de chiffrement, y compris le choix de l'emplacement, le niveau de protection, la création, le contrôle des accès, la rotation, l'utilisation et la destruction.
Générer du matériel de clé dans Cloud KMS ou importer du matériel de clé qui est géré en dehors de Cloud de Confiance.
Définir une règle concernant l'endroit où vos clés doivent être utilisées.
Supprimer de manière sélective les données protégées par vos clés en cas de désactivation ou pour corriger des événements de sécurité (déchiquetage cryptographique).
Créer et utiliser des clés uniques pour un client, en établissant une limite cryptographique autour de vos données.
Journaliser les accès administratifs et aux données pour les clés de chiffrement.
Respecter les réglementations actuelles ou futures qui nécessitent l'un de ces objectifs.

Ce qu'un service intégré aux clés CMEK fournit

Comme le chiffrement par défaut de Cloud de Confiance, les clés CMEK sont un chiffrement symétrique d'enveloppe côté serveur des données client. La différence avec Cloud de Confiancele chiffrement par défaut de est que la protection CMEK utilise une clé contrôlée par un client.

Les services cloud qui disposent d'une intégration de clés CMEK utilisent les clés que vous créez dans Cloud KMS pour protéger vos ressources.
Les services intégrés à Cloud KMS utilisent le chiffrement symétrique.
Vous choisissez le niveau de protection de la clé.
Toutes les clés sont de type AES-GCM 256 bits.
Le matériel de clé ne quitte jamais la limite du système Cloud KMS.
Vos clés symétriques sont utilisées pour le chiffrement et le déchiffrement dans le modèle de chiffrement d'enveloppe.

Les services intégrés aux clés CMEK gèrent l'accès aux ressources

Le compte principal qui crée ou affiche des ressources dans le service intégré aux clés CMEK ne nécessite pas le rôle IAM de chiffreur/déchiffreur de CryptoKeys Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) pour la clé CMEK utilisée pour protéger la ressource.

Chaque ressource de projet possède un compte de service spécial, appelé un agent de service, qui effectue le chiffrement et le déchiffrement à l'aide de clés gérées par le client. Une fois que vous avez attribué l'accès de l'agent de service à une clé CMEK, cet agent utilise cette clé pour protéger les ressources de votre choix.

Lorsqu'un demandeur souhaite accéder à une ressource chiffrée avec une clé gérée par le client, l'agent de service tente automatiquement de déchiffrer la ressource demandée. Si l'agent de service est autorisé à déchiffrer à l'aide de la clé et que vous n'avez pas désactivé ni détruit la clé, l'agent de service fournit une utilisation de chiffrement et de déchiffrement de la clé. À défaut, la requête échoue.

Aucun accès supplémentaire n'est requis pour le demandeur. De plus, comme l'agent de service gère le chiffrement et le déchiffrement en arrière-plan, l'expérience utilisateur pour accéder aux ressources est semblable à celle du chiffrement par défaut de Cloud de Confiance.

Planifier et créer des clés CMEK

Lorsque vous utilisez des clés CMEK, vous devez planifier et créer des trousseaux de clés, des clés, et des emplacements de ressources avant de pouvoir créer des ressources protégées. Vous pouvez ensuite utiliser vos clés pour protéger les ressources.

Pour connaître la procédure exacte d'activation des clés CMEK, consultez la documentation sur le service concerné Cloud de Confiance . Certains services, tels que GKE, possèdent plusieurs intégrations de clés CMEK permettant de protéger différents types de données liées au service. Vous devrez suivre des étapes semblables à celles-ci :

Créez un trousseau de clés Cloud KMS ou choisissez un trousseau de clés existant. Lorsque vous créez votre trousseau de clés, choisissez un emplacement géographiquement proche des ressources que vous protégez. Le trousseau de clés peut se trouver dans le même projet que les ressources que vous protégez ou dans des projets différents. L'utilisation de projets différents vous offre un meilleur contrôle sur les rôles IAM et contribue à la prise en charge de la séparation des tâches.
Vous créez ou importez une clé Cloud KMS dans le trousseau de clés choisi. Cette clé est la clé CMEK.
Vous accordez le rôle IAM de chiffreur/déchiffreur de CryptoKeys (roles/cloudkms.cryptoKeyEncrypterDecrypter) sur la clé CMEK au compte de service pour le service.
Lors de la création d'une ressource, configurez-la pour qu'elle utilise la clé CMEK. Par exemple, vous pouvez configurer une table BigQuery pour protéger les données au repos dans la table.

Pour qu'un demandeur puisse accéder aux données, il n'a pas besoin d'un accès direct à la clé CMEK.

Tant que l'agent de service dispose du rôle Chiffreur/Déchiffreur de CryptoKeys, le service peut chiffrer et déchiffrer ses données. Si vous révoquez ce rôle, ou si vous désactivez ou détruisez la clé CMEK, ces données ne sont plus accessibles.

Conformité CMEK

Certains services disposent d'intégrations de clés CMEK et vous permettent de gérer vous-même les clés. D'autres services proposent plutôt la conformité CMEK, ce qui signifie que les données temporaires et la clé éphémère ne sont jamais écrites sur le disque. Pour obtenir la liste complète des services intégrés et conformes, consultez Services compatibles avec les clés CMEK.

Règles d'administration CMEK

Cloud de Confiance propose des contraintes de règles d'administration pour garantir une utilisation cohérente des clés CMEK dans une ressource d'organisation. Ces contraintes fournissent des contrôles aux administrateurs d'organisation pour exiger l'utilisation de clés CMEK et spécifier des limites et des contrôles sur les clés Cloud KMS utilisées pour la protection CMEK, y compris les éléments suivants :

Limites concernant les clés Cloud KMS utilisées pour la protection CMEK
Limites concernant les niveaux de protection autorisés des clés
Limites concernant l'emplacement des clés CMEK
Contrôles pour la destruction des versions de clé

Étape suivante

Consultez la liste des services avec intégrations de clés CMEK.
Consultez la liste des services compatibles avec les clés CMEK.

Consultez la liste des services compatibles avec Autokey.